KVKK Kişisel Verilerin Korunması Kanunu

Neredeyse hepimiz sosyal medya veya sitelerde kişisel verilerimizi paylaşıyoruz hatta hastanelere gidip kayıt esnasında hasta kayıt formuna neredeyse tüm kişisel verilerimizi dolduruyoruz. Doktorlara özel sağlık problemlerimizi paylaşıyoruz. Başka bir örnek bankaya gidiyoruz hesap açtırıyoruz ve özel bilgilerimizi paylaşıyoruz.

  • Peki bu özel bilgilerimiz ne kadar güvende saklanıyor ?
  • Paylaştığımız kurum bu bilgileri başka şahıslar ile paylaşıyormu ?
  • Kurum içinde çalışan personeller bu bilgilere yetkisi dışında kolay bir şekilde erişebiliyormu ?

KVKK DENETİMİ

Kişisel Verilerin Korunması Kanunu Kapsamında daha önce çalışma yapmış kurumlar için farklı bir göz ile KVKK uygunluğunun tespiti yapılmaktadır. Bununla ilgili aşağıdaki işlemler yapılmaktadır.

  • Kanun maddeleri ve ilgili ikincil mevzuat ile uyum kontrolü
  • İç Denetim Yapılması
  • Süreç yönetimi (Sözleşmeler, Politika, prosedür vs.) kontrolü
  • Teknik tedbirler kontrolü, Penetrasyon (Sızma)Testi gibi testler yapılmaktadır.

KVKK Süreç Yönetimi

6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişilerin mahremiyetinin korunması hem de kişisel verilerin gelişi güzel işlenmemesi amaçlanmıştır. Bu durum özellikle işletmeler (Veri Sorumluları) açısından birçok yükümlülükler getirmiştir. Ayrıca Kurumun cezai ve idari yaptırımları da göz önünde bulundurularak kısa sürede bu geçişleri tamamlaması gerekmektedir. Epasis Bilgi Teknolojileri olarak kurumun ticari hayatına odaklanması ve bu dönüşüm sürecini başarı ile atlatması için sizlere çözüm odaklı yaklaşımlar sunmaktadır. Epasis Bilgi Teknolojileri  Uzman kadrosu ve Hukuk, Süreç Yönetimi ve Bilgi İşlem tecrübesi ile bu zorlu süreci tamamlamanıza yardımcı olacaktır.

Analiz Süreci

  • GAP Analizi
  • Organizasyon Şemasının İncelenmesi
  • Hizmet Envanteri ve İş Süreçlerinin İncelenmesi
  • Yapılandırılmış ve Yapılandırılmamış Verinin Tespiti
  • Veri Sınıflandırmanın Yapılması

İdari Tedbirler Süreci

  • Kişisel Veri İşleme Envanterinin Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Aydınlatma Metinleri ve Açık Rıza Beyanları
  • Sözleşmeler (Veri Sorumlusu- Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen)
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi)
  • Eğitim ve Farkındalık Faaliyetleri

Teknik Tedbirler Süreci

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ ve Uygulama Güvenlği
  • Şifreleme ve Anahtar Yönetimi
  • Sızma Test (Penetrasyon Testi)
  • Saldırı Tespit ve Önleme Sistemleri ile Siber Güvenlik
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları (DLP)
  • Yedekleme
  • Güvenlik Duvarları (Firewall)
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme ve Anonim Hale Getirme
  • Bulut Veri Güvenliği
  • Fiziksel ve Çevresel Güvenlik
  • Bilgi Teknolojileri Yatırımları

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Süreci

  • Veri Sorumlusu Yönetici Giriş Kaydının Oluşturulması ve Şifrelerin Alınması
  • Veri Girişi Yapacak ve Güncelleyecek İrtibat Kişisinin Belirlenmesi ve Kaydının Oluşturulması
  • Veri Sorumluları Sicil Bilgi Sistemine Bildirimin Yapılması

General Data Protection Regulation (GDPR)

Avrupa Birliğinin 2016 yılında geçerek uygulamaya koyduğu ve kişisel veri tanımlarının detaylıca yapıldığı bir sistemdir. Ülkemizde KVKK öncesinde bazı kuruluşlar GDPR uygulamalarına geçmiş ve firmalarını bu sürece hazır hale getirmiştir.

Temel olarak aynı amaca hizmet eden bu iki sistemde kişilerin özel hak ve özgürlüklerini korumayı amaçlarken, burada oluşacak olumsuzluklar sonrasında şirketleri de kanun yapıcı önünde korumayı hedefler.

Sonuç olarak ülkemizde 2019 yılında uygulanmaya başlanan bu süreçte kişi ve kurumların kafası oldukça karışmış durumda. Bir tarafta AB tarafı ülkelerinin uyguladığı GDPR sistemi, diğer yandan ülkemizde henüz uygulanmaya çalışılan KVKK süreci. Bu karışıklık 2020 yılında kurumlarda ciddi bir iş yükü oluşturacak ve sistem değişikliği bir hayli zorlayacak gibi duruyor.

Kişisel verilerin korunması sürecine bakıldığında sistemin 3 temel ayak üzerine inşa edildiğini görüyoruz. Bunlar;

  • Hukuki Yaklaşım
  • Dokümantasyon
  • Teknoloji

Epasis Bilgi Teknolojileri; bu aşamada müşterilerine tüm süreçleri kapsayan çözümler sunarak, bu zorlu süreçte kurumların ticari faaliyetlerine odaklanmasını sağlamaktadır. KVKK sürecine geçişte yapılan çalışmalar firmaların sektörlerine göre farklılıklar gösterse bile aşağıdaki adımlar takip edilmektedir.

  • Kurum yada kuruluşun KVKK süreçlerine göre analiz edilmesi,
  • KVKK geçiş yol haritasının çıkarılması,
  • Dokümantasyonun hazırlanması,
  • Kullanılan yazılım ve altyapı çalışmasının yapılması,
  • Hukuki süreçlerin belirlenmesi,
  • Sistemin eksiksiz şekilde uygulanması

Bu süreç sonunda işletmeler KVKK ile ilgili tüm süreçleri işletir ve kendini 3. Taraflara karşı korur.

Kişisel Verilerin Korunması Kanunu’nun (KVKK) uygulamalarının kamuoyunda gündeme gelmesiyle, rıza olmaksızın elde edilen kişiye özel verilerin kullanılması, vatandaşlara ticari elektronik iletiler gönderilmesi, kamuya açık alanda güvenlik kameralarının kullanılması ile konferans ve seminerlerde kişinin görüntülerinin çekilmesi gibi durumların hukuki boyutlarının detaylı olarak incelenmesi.

KVKK Kişisel Verilerin Korunması Kanunu